O Canvas, plataforma de gestão de aprendizado usada por milhões de estudantes e professores ao redor do mundo, ficou offline após o grupo hacker ShinyHunters ameaçar vazar dados confidenciais de instituições de ensino. O incidente expôs nomes, e-mails e mensagens privadas de alunos, colocando em alerta comunidades acadêmicas inteiras.
O ShinyHunters é um grupo cibercriminoso com histórico de ataques a grandes plataformas digitais — responsável por violações em Ticketmaster, Santander e outras empresas globais. Desta vez, o alvo é a infraestrutura educacional, num momento em que escolas e universidades dependem cada vez mais de ferramentas digitais para ensino híbrido e remoto.
Neste tutorial, você vai entender exatamente o que aconteceu, como verificar se seus dados foram comprometidos, quais passos tomar imediatamente para proteger sua conta no Canvas e como reforçar sua segurança digital em plataformas educacionais. Validei cada procedimento com base nas melhores práticas de resposta a incidentes de segurança.
O que aconteceu com o Canvas e quem é o ShinyHunters?
O Canvas, desenvolvido pela Instructure, é uma das plataformas LMS (Learning Management System) mais utilizadas globalmente — presente em universidades, escolas públicas e privadas. Segundo informações divulgadas no episódio 20 do podcast Build or Be Replaced, o Canvas ficou offline após o grupo ShinyHunters obter acesso não autorizado ao sistema, expondo dados sensíveis de estudantes.
Os dados comprometidos incluem nomes completos, endereços de e-mail e mensagens privadas trocadas dentro da plataforma. Esse tipo de exposição é classificado como violação de dados de alto impacto, especialmente por envolver menores de idade em ambientes escolares.
O ShinyHunters opera em fóruns da dark web e costuma leiloar ou publicar gratuitamente bases de dados roubadas para pressionar empresas a pagar resgates. Seu histórico inclui o vazamento de mais de 560 milhões de registros da Ticketmaster em 2024, o que demonstra capacidade técnica significativa.
Seus dados foram expostos? Veja como verificar agora
A primeira ação é verificar se seu e-mail institucional ou pessoal vinculado ao Canvas aparece em bases de dados vazados. Use o serviço Have I Been Pwned (haveibeenpwned.com) — uma ferramenta gratuita e confiável que indexa credenciais expostas em violações conhecidas.
Acesse o site, insira seu endereço de e-mail e aguarde o resultado. Se o e-mail aparecer como “pwned” (comprometido), significa que ele já circula em alguma base de dados vazada — não necessariamente deste incidente específico, mas o risco é real.
Além disso, fique atento a comunicados oficiais da sua instituição de ensino. Escolas e universidades que usam Canvas são obrigadas, em muitos países, a notificar usuários em caso de violação de dados pessoais — no Brasil, isso é exigido pela LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018).
Passo a passo: como proteger sua conta no Canvas após o ataque
Passo 1 — Troque a senha imediatamente
Acesse as configurações da sua conta no Canvas e altere a senha para uma combinação de pelo menos 16 caracteres, misturando letras maiúsculas, minúsculas, números e símbolos. Não reutilize senhas de outras plataformas.
Passo 2 — Ative a autenticação em dois fatores (2FA)
No Canvas, acesse Configurações da Conta > Segurança e habilite a verificação em duas etapas. Use um aplicativo autenticador como Google Authenticator ou Authy — mais seguro do que receber códigos por SMS, que podem ser interceptados via ataques SIM swap.
Passo 3 — Revogue sessões ativas desconhecidas
Ainda nas configurações de segurança, localize a opção “Sessões ativas” ou “Dispositivos conectados” e encerre todas as sessões que você não reconhece. Isso desconecta qualquer acesso não autorizado que possa estar ativo.
Passo 4 — Troque senhas em outros serviços que usam o mesmo e-mail
Se você usa o mesmo e-mail e senha do Canvas em outros serviços (Gmail, Outlook, redes sociais), troque todas imediatamente. Ataques de credential stuffing — onde hackers testam credenciais vazadas em outros sites — são a consequência mais comum de violações como esta.
Passo 5 — Use um gerenciador de senhas
Ferramentas como Bitwarden (gratuito e open source) ou 1Password geram e armazenam senhas únicas para cada serviço. Isso elimina o risco de reutilização de credenciais — o vetor de ataque mais explorado pelo ShinyHunters e grupos similares.
Passo 6 — Monitore seu e-mail por phishing
Com nomes e e-mails expostos, espere um aumento em tentativas de phishing — e-mails falsos que se passam por sua instituição de ensino ou pelo próprio Canvas pedindo que você “reconfirme sua conta”. Nunca clique em links de e-mails não solicitados; acesse sempre diretamente pelo navegador.
Passo 7 — Notifique sua instituição de ensino
Informe o departamento de TI ou a coordenação da sua escola ou universidade sobre o incidente. Instituições precisam saber quantos usuários foram afetados para acionar seus protocolos de resposta e, se necessário, notificar a Autoridade Nacional de Proteção de Dados (ANPD) no Brasil.
Troubleshooting: problemas comuns ao tentar acessar o Canvas agora
Se o Canvas ainda estiver fora do ar ou apresentando erros ao tentar acessar, o problema pode ser instabilidade nos servidores da Instructure durante o processo de contenção do incidente. Aguarde comunicado oficial no status page da plataforma antes de tentar redefinir senha repetidamente — múltiplas tentativas podem bloquear sua conta.
Caso o login retorne erro de “credenciais inválidas” mesmo com a senha correta, é possível que sua conta tenha sido temporariamente suspensa como medida de segurança pela própria plataforma. Entre em contato com o suporte da sua instituição, não diretamente com a Instructure — a maioria das instâncias do Canvas é gerenciada localmente.
Limitações do que você pode fazer individualmente
Seguir os passos acima protege sua conta daqui para frente, mas não apaga os dados que já foram expostos. Se seu nome, e-mail ou mensagens privadas já foram capturados antes do ataque ser contido, essas informações podem circular em fóruns da dark web por meses ou anos.
A proteção individual tem limites reais: a responsabilidade primária pela segurança dos dados é da Instructure e das instituições que contratam o serviço. No Brasil, a LGPD prevê que titulares de dados podem solicitar informações sobre o tratamento de seus dados e, em casos de violação, acionar a ANPD (anpd.gov.br) para registrar reclamação formal.
Dicas avançadas para administradores de TI em escolas
Se você é responsável pela instância Canvas de uma instituição, ative imediatamente a revisão de logs de acesso das últimas 72 horas para identificar acessos anômalos. Ferramentas de SIEM (Security Information and Event Management) como Splunk ou o gratuito Elastic SIEM ajudam a correlacionar eventos suspeitos.
Considere implementar políticas de zero trust — onde cada acesso é verificado independentemente, mesmo dentro da rede interna — e segmentação de rede para isolar a instância Canvas de outros sistemas críticos. Segundo o blog da Instructure, atualizações de segurança devem ser aplicadas assim que disponibilizadas, sem atrasos.
O ataque do ShinyHunters ao Canvas é um alerta direto sobre a vulnerabilidade de plataformas educacionais digitais: dados de estudantes — incluindo menores de idade — são alvos tão valiosos quanto informações financeiras. Trocar a senha, ativar o 2FA e monitorar tentativas de phishing são ações que levam menos de 15 minutos e reduzem drasticamente o risco de danos maiores. Não espere sua instituição notificar você — aja agora.
Você usa o Canvas na sua escola ou universidade? Sua instituição já enviou algum comunicado sobre o incidente? Conta nos comentários — sua experiência pode ajudar outros leitores a entender o alcance real desse vazamento no Brasil.
Veja também
Saiba mais: consulte Canvas plano para informações verificadas.
[…] Canvas fora do ar: ShinyHunters ameaça vazar dados de escolas […]
[…] Canvas fora do ar: ShinyHunters ameaça vazar dados de escolas […]